Il ricercatore Amol Baikar, che lavora nel campo della sicurezza informatica, ha pubblicato i dati su una vulnerabilità vecchia di dieci anni nel protocollo di autorizzazione OAuth utilizzato dal social network Facebook. Lo sfruttamento di questa vulnerabilità ha permesso di hackerare gli account Facebook.
Il problema citato riguarda la funzione “Accedi con Facebook”, che permette di accedere a diversi siti web utilizzando il proprio account Facebook. Per lo scambio di token tra Facebook.com e risorse di terze parti viene utilizzato il protocollo OAuth 2.0, che presenta delle carenze che consentono agli aggressori di intercettare i token di accesso per hackerare gli account degli utenti. Utilizzando siti Web dannosi gli aggressori potrebbero accedere non solo agli account Facebook, ma anche agli account di altri servizi che supportano la funzione "Login con Facebook". Attualmente, un gran numero di risorse web supportano questa funzione. Dopo aver ottenuto l'accesso agli account delle vittime, gli aggressori possono inviare messaggi, modificare i dati degli account ed eseguire altre azioni per conto dei proprietari degli account compromessi.
Secondo i rapporti, il ricercatore ha informato Facebook del problema scoperto nel dicembre dello scorso anno. Gli sviluppatori hanno riconosciuto l'esistenza della vulnerabilità e l'hanno prontamente risolta. Tuttavia, a gennaio, Baykar ha trovato una soluzione alternativa che gli ha permesso di accedere agli account degli utenti della rete. Facebook ha successivamente risolto questa vulnerabilità e il ricercatore ha ricevuto una ricompensa di 55 dollari.
Fonte: 3dnews.ru